Slik sporer du når noen får tilgang til en mappe på datamaskinen
Det er en fin liten funksjon innebygd i Windows som lar deg spore når noen ser, redigerer eller sletter noe inne i en spesifisert mappe. Så hvis det er en mappe eller fil som du vil vite hvem som har tilgang, er dette den innebygde metoden uten å måtte bruke tredjeparts programvare.
Denne funksjonen er faktisk en del av en Windows-sikkerhetsfunksjon som heter Gruppepolicy, som brukes av de fleste IT-fagfolk som administrerer datamaskiner i bedriftsnettverket via servere, men det kan også brukes lokalt på en PC uten servere. Den eneste ulempen ved å bruke Gruppepolicy er at den ikke er tilgjengelig i lavere versjoner av Windows. For Windows 7 må du ha Windows 7 Professional eller høyere. For Windows 8 trenger du Pro eller Enterprise.
Begrepet Gruppepolitikk refererer i utgangspunktet til et sett med registerinnstillinger som kan styres via et grafisk brukergrensesnitt. Du aktiverer eller deaktiverer ulike innstillinger, og disse endringene blir deretter oppdatert i Windows-registret.
I Windows XP, for å komme til retningslinjeditoren, klikker du på Start og så Løpe. I tekstboksen skriver du "gpedit.msc"Uten anførselstegn som vist nedenfor:
I Windows 7 vil du bare klikke på Start-knappen og skrive gpedit.msc inn i søkeboksen nederst på Start-menyen. I Windows 8 går du ganske enkelt til startskjermbildet og begynner å skrive eller flytte musepekeren til langt øverst eller nederst til høyre på skjermen for å åpne Charms bar og klikk på Søke. Skriv så bare inn gpedit. Nå bør du se noe som ligner på bildet nedenfor:
Det er to hovedkategorier av retningslinjer: Bruker og Datamaskin. Som du kanskje har gjettet, kontrollerer brukerpolitikk innstillingene for hver bruker, mens datamaskininnstillingene vil være systembreddeinnstillinger og vil påvirke alle brukere. I vårt tilfelle vil vi ønske at vår innstilling skal være for alle brukere, så vi vil utvide Datamaskinkonfigurasjon seksjon.
Fortsett å utvide til Windows Innstillinger -> Sikkerhetsinnstillinger -> Lokale retningslinjer -> Revisjonspolitikk. Jeg kommer ikke til å forklare mye av de andre innstillingene her, siden dette primært er fokusert på revisjon av en mappe. Nå ser du et sett med retningslinjer og deres nåværende innstillinger på høyre side. Revisjonspolitikken er det som kontrollerer om operativsystemet er konfigurert og klar til å spore endringer.
Kontroller nå innstillingen for Grunnobjekttilgang ved å dobbeltklikke på den og velge begge Suksess og Failure. Klikk på OK, og nå er vi ferdige med den første delen som forteller Windows at vi vil at den skal være klar til å overvåke endringer. Nå er det neste trinnet å fortelle det nøyaktig hva vi vil spore. Du kan lukke ut av konsernpolitikk-konsollen nå.
Naviger nå til mappen med Windows Utforsker som du vil overvåke. I Explorer, høyreklikk på mappen og klikk Eiendommer. Klikk på Sikkerhetsfane og du ser noe som ligner på dette:
Klikk nå på Avansert knappen og klikk på revisjon fane. Dette er hvor vi faktisk skal konfigurere hva vi vil overvåke for denne mappen.
Gå videre og klikk på Legg til knapp. En dialogboks vises som ber deg om å velge en bruker eller gruppe. I boksen skriver du inn ordet "brukere"Og klikk Sjekk navnene. Boksen oppdateres automatisk med navnet på den lokale brukergruppen for datamaskinen din i skjemaet Brukernavn \ Brukere.
Klikk på OK, og nå får du en annen dialog som heter "Revisjonsinngang for X“. Dette er det virkelige kjøttet av det vi har lyst til å gjøre. Her er hvor du velger hva du vil se etter denne mappen. Du kan enkelt velge hvilke typer aktiviteter du vil spore, for eksempel å slette eller opprette nye filer / mapper, etc. For å gjøre det enklere, foreslår jeg at du velger Full kontroll, som automatisk velger alle de andre alternativene under den. Gjør dette for Suksess og Failure. På denne måten, hva som er gjort med den mappen eller filene i den, vil du ha en oversikt.
Klikk nå OK og klikk OK igjen og OK en gang til for å komme ut av dialogboksen for flere dialogbokser. Og nå har du klart konfigurert revisjon i en mappe! Så du kan spørre, hvordan ser du hendelsene?
For å se hendelsene, må du gå til Kontrollpanel og klikke på Administrative verktøy. Åpne deretter Event Viewer. Klikk på Sikkerhet delen, og du får se en stor liste over hendelser på høyre side:
Hvis du går videre og lager en fil eller bare åpner mappen og klikker på Oppdater knappen i hendelsesvisningsprogrammet (knappen med de to grønne pilene), ser du en rekke hendelser i kategorien av Filsystem. Disse gjelder å slette, lage, lese, skrive operasjoner på mappene / filene du reviderer. I Windows 7 vises alt nå under kategorien Oppgavekategori, så for å se hva som skjedde, må du klikke på hver og bla gjennom det.
For å gjøre det enklere å se gjennom så mange hendelser, kan du sette et filter og bare se de viktige tingene. Klikk på Utsikt menyen øverst og klikk på Filter. Hvis det ikke er noe alternativ for Filter, høyreklikker du på sikkerhetsloggen på venstre side og velger Filtrer nåværende logg. Skriv inn nummeret i hendelses-ID-boksen 4656. Dette er hendelsen assosiert med en bestemt bruker som utfører en Filsystem handling og gir deg relevant informasjon uten å måtte se gjennom tusenvis av oppføringer.
Hvis du vil ha mer informasjon om en begivenhet, dobbeltklikk du på den for å se.
Dette er informasjonen fra skjermen ovenfor:
Et håndtak til et objekt ble bedt om.
Emne:
Sikkerhets-ID: Aseem-Lenovo \ Aseem
Kontonavn: Aseem
Konto Domene: Aseem-Lenovo
Innloggings-ID: 0x175a1
Gjenstand:
Objekt Server: Sikkerhet
Objekttype: Fil
Objektnavn: C: \ Users \ Aseem \ Desktop \ Tufu \ Ny tekst Document.txt
Håndter ID: 0x16a0
Prosessere informasjon:
Prosess ID: 0x820
Prosessnavn: C: \ Windows \ explorer.exe
Adgangsprosessinformasjon:
Transaksjons-ID: 00000000-0000-0000-0000-000000000000
Tilgang: SLETT
SYNKRONISERE
ReadAttributes
I eksemplet ovenfor var filen som ble jobbet, Ny Text Document.txt i Tufu-mappen på skrivebordet mitt, og tilgangene jeg ba om var DELETE etterfulgt av SYNCHRONIZE. Det jeg gjorde her, var å slette filen. Her er et annet eksempel:
Objekttype: Fil
Objektnavn: C: \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
Håndtak ID: 0x178
Prosessere informasjon:
Prosess ID: 0x1008
Prosessnavn: C: \ Programmer (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Adgangsprosessinformasjon:
Transaksjons-ID: 00000000-0000-0000-0000-000000000000
Tilgang: READ_CONTROL
SYNKRONISERE
ReadData (eller ListDirectory)
WriteData (eller AddFile)
AppendData (eller AddSubdirectory eller CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Tilgang Årsaker: READ_CONTROL: Bevilget av Eierskap
SYNKRONISER: Gitt av D: (A; ID; FA ;; S-1-5-21-597862309-2018615179-2090787082-1000)
Når du leser gjennom dette, kan du se at jeg har tilgang til Address Labels.docx ved hjelp av WINWORD.EXE-programmet, og mine tilganger inkluderte READ_CONTROL, og mine tilgangsgrunner var også READ_CONTROL. Vanligvis ser du en rekke flere tilganger, men bare fokusere på den første siden det vanligvis er den viktigste typen tilgang. I dette tilfellet åpnet jeg bare filen ved hjelp av Word. Det tar litt testing og lesing gjennom hendelsene for å forstå hva som skjer, men når du har det nede, er det et veldig pålitelig system. Jeg foreslår at du oppretter en testmappe med filer og utfører ulike handlinger for å se hva som vises i hendelsesvisningsprogrammet.
Det er ganske mye det! En rask og gratis måte å spore tilgang til eller endre til en mappe!